Categoría: mikrotik

  • Securización de router Mikrotik

    Expongo aquí unas buenas prácticas básica que deberiamos hacer cada vez que instalemos o restauremos un router Mikrotik con su s.o. RouterOs.

    • 1. Cambiar el usuario por defecto y eliminar el admin.
    /user add name=myname password=mypassword group=full
    /user remove admin

    2. Eliminar servicios que no usamos.

    /ip service disable telnet,ftp,www,api,api-ssl
    /ip service print

    3. Cambiar el puerto por defecto del servicio ssh.

    /ip service set ssh port=2200
    /ip service print

    4. Configuración del cortafuegos IPV4

    • Trabajar con conexiones nuevas para bajar la carga de la cpu.
    • Crear una address-list para las direcciones Ip’s a las que concedemos permiso para administrar el router
    • Aceptar conexiones icmp
    • Rechazar todas las demás conexiones input.
    /ip firewall filter
    add action=accept chain=input comment="default configuration" connection-state=established,related
    add action=accept chain=input src-address-list=allowed_to_router
    add action=accept chain=input protocol=icmp
    add action=drop chain=input
    /ip firewall address-list
    add address=192.168.88.2-192.168.88.254 list=allowed_to_router
    add address=172.26.0.2-172.26.0.254 list=allowed_to_router

    5. Reglas IPV4 para clientes

    • Los paquetes Established/related son añadidos a fasttrack para una rápida gestión.
    • Rechazar conexiones inválidas y hacer log de ellas con el prefijo «invalid»;
    • Rechazar intentos de llegar a direcciones no públicas desde el interior de la red local, aplicar address-list=not_in_internet antes, bridge1 es la interfaz LAN, registrar los intentos con !public_from_LAN;
    • Rechazar paquete que no son NATeados, ether1 is la interfaz WAN, registrar estos intentos con el prefijo !NAT prefix;
    • Rechazar paquetes desde internet, los cuales no son direcciones públicas, ether1 es la WAN, registrar los intentos con el prefijo !public;
    • Rechazar los paquetes desde LAN que no tienen IP de la LAN;
    /ip firewall filter
    add action=fasttrack-connection chain=forward comment=FastTrack connection-state=established,related
    add action=accept chain=forward comment="Established, Related"  connection-state=established,related
    add action=drop chain=forward comment="Drop invalid" connection-state=invalid log=yes log-prefix=invalid
    add action=drop chain=forward comment="Drop tries to reach not public addresses from LAN" dst-address-list=not_in_internet in-interface=bridge1 log=yes log-prefix=!public_from_LAN out-interface=!bridge1
    add action=drop chain=forward comment="Drop incoming packets that are not NATted" connection-nat-state=!dstnat connection-state=new in-interface=ether1 log=yes log-prefix=!NAT
    add action=drop chain=forward comment="Drop incoming from internet which is not public IP" in-interface=ether1 log=yes log-prefix=!public src-address-list=not_in_internet
    add action=drop chain=forward comment="Drop packets from LAN that do not have LAN IP" in-interface=bridge1 log=yes log-prefix=LAN_!LAN src-address=!192.168.88.0/24
    
    /ip firewall address-list
    add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
    add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
    add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
    add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
    add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
    add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
    add address=224.0.0.0/4 comment=Multicast list=not_in_internet
    add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
    add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
    add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
    add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
    add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
    add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
    add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
    add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=not_in_internet

     

     

    Fuente wiki mikrotik